NSD autoritářský server DNS + Shorewall - sítě SME

Obecný index série: Počítačové sítě pro malé a střední podniky: Úvod

Tento článek je pokračováním:

• Ověření Squid + PAM na CentOS 7.
• Místní správa uživatelů a skupin

Ahoj přátelé a přátelé!

Skupina Nadšenci koupil název internetové domény desdelinux.fanoušek svému poskytovateli internetových služeb nebo ISP. V rámci této akvizice požádali svého ISP o zahrnutí všech záznamů DNS potřebných pro internet k vyřešení příslušných dotazů týkajících se jejich domény.

Rovněž požádali o zahrnutí záznamů SRV týkajících se XMPP protože plánují instalaci serveru pro zasílání rychlých zpráv na základě Prozódie který se připojí ke stávající federaci kompatibilních serverů XMMP na internetu.

• Hlavním účelem tohoto článku je ukázat, jak můžeme odrážet záznamy SRV týkající se služby okamžitých zpráv kompatibilní s XMPP v souboru zóny DNS.
• Instalace břehová zeď S jediným síťovým rozhraním může sloužit těm, kteří se rozhodnou nainstalovat takový server, aby spravovali delegovanou zónu DNS. Pokud se tento server připojuje k síti Enterprise LAN kromě Internetu, je nutné provést nezbytná nastavení pro použití dvou síťových rozhraní.

Základní server

Chystáme se nainstalovat autoritativní server DNS NSD Debian „Jessie“. Toto je kořenový server pro „fanouška“. Hlavní parametry serveru jsou:

Název: ns.fan IP adresa: 172.16.10.30 root @ ns: ~ # název hostitele
ns

root @ ns: ~ # název hostitele --fqdn
ns.fan

root @ ns: ~ # ip addr show
1: co: mtu 65536 qdisc stav fronty NEZNÁMÁ skupina výchozí odkaz / zpětná smyčka 00: 00: 00: 00: 00: 00 brd 00: 00: 00: 00: 00: 00 inet 127.0.0.1/8 obor hostitele lo valid_lft navždy upřednostňovaný_lft navždy inet6 :: Hostitel oboru 1/128 valid_lft navždy preferovaný_lft navždy 2: eth0: mtu 1500 qdisc pfifo_fast state UP skupina default qlen 1000 link / ether 00: 0c: 29: dc: d7: 1b brd ff: ff: ff: ff: ff: ff inet 172.16.10.30/24 brd 172.16.10.255 obor globální eth0 valid_lft navždy preferovaný_lft navždy inet6 fe80 :: 20c: 29ff: fedc: d71b / 64 odkaz na obor valid_lft navždy preferovaný_lft navždy

břehová zeď

Před odjezdem se službou do WWW Village je velmi pozitivní chránit server a služby, které poskytuje, pomocí výkonného Firewallu - Routeru. Shorewall je relativně snadno konfigurovatelný a je bezpečnou volbou pro ochranu.

• Správná a úplná konfigurace brány firewall je úkolem znalců nebo odborníků, což nejsme. Nabízíme pouze průvodce pro minimální a funkční konfiguraci.

Nainstalujeme balíček shorewall a jeho dokumentaci.

root @ ns: ~ # aptitude show shorewall
Balíček: shorewall Novinka: ano Stav: nenainstalován
Verze: 4.6.4.3-2

root @ ns: ~ # aptitude install shorewall shorewall-doc

dokumentace

Bohatou dokumentaci najdete ve složkách:

• / usr / share / doc / shorewall
• / usr / share / doc / shorewall / příklady
• / usr / share / doc / shorewall-doc / html

Konfigurujeme pro síťové rozhraní

root @ ns: ~ # cp / usr / share / doc / shorewall / examples / one-interface / interfaces \
/ etc / shorewall /

root @ ns: ~ # nano / etc / shorewall / rozhraní
#ZONE MOŽNOSTI ROZHRANÍ net eth0 tcpflags, logmartians, nosmurfs, sourceroute = 0

Deklarujeme zóny firewallu

root @ ns: ~ # cp / usr / share / doc / shorewall / examples / one-interface / zones \
/ etc / shorewall /

root @ ns: ~ # nano / etc / shorewall / zóny
# MOŽNOSTI TYPU ZÓNY VNĚJŠÍ MOŽNOSTI MOŽNOSTI fw firewall net ipv4

Výchozí zásady pro přístup k bráně firewall

root @ ns: ~ # cp / usr / share / doc / shorewall / examples / one-interface / policy \
/ etc / shorewall /

root @ ns: ~ # nano / etc / shorewall / policy
# SOURCE DEST POLICY LOG LEVEL LIMIT: BURST $ FW net ACCEPT
čisté všechny informace o DROP
# NÁSLEDUJÍCÍ POLITIKA MUSÍ BÝT POSLEDNÍ, všechny informace o ODMÍTNUTÍ

Pravidla pro přístup k bráně firewall

root @ ns: ~ # cp / usr / share / doc / shorewall / examples / one-interface / rules \
/ etc / shorewall /

root @ ns: ~ # nano / etc / shorewall / rules
# ACTION SOURCE DEST PROTO DEST SOURCE ORIGINAL RATE USER / MARK CON $ # PORT PORT (S) DEST LIMIT GROUP? SECTION ALL? SECTION ESTABLISHED? SECTION RELATED? SECTION INVALID? SECTION UNTRACKED? SECTION NEW # DROP packets in the INVALID state # Discard pakety v neplatném stavu Neplatný (DROP) čistý $ FW tcp # Drop Ping ze „špatného“ síť zóna .. a zabraňte zaplavení vašeho protokolu .. # Zrušte Ping ze „špatné“ čisté zóny. # Zabránit zaplavení systémového protokolu (/ var / log / syslog) Ping (DROP) net $ FW # Povolit veškerý přenos ICMP Z Brány firewall do čisté zóny # Povolit veškerý přenos ICMP Z brány firewall do zóny síť. PŘIJMOUT $ FW net icmp

# Vlastní pravidla # Přístup přes SSH ze dvou počítačů
SSH / ACCEPT net: 172.16.10.1,172.16.10.10 $ FW tcp 22

# Povolit provoz na portech 53 / tcp a 53 / udp
PŘIJMOUT netto FW $ tcp 53
PŘIJMOUT net $ FW udp 53

Zkontrolujeme syntaxi konfiguračních souborů

root @ ns: ~ # kontrola břehu
Kontrola ... Zpracování / etc / shorewall / parametry ... Zpracování /etc/shorewall/shorewall.conf ... Načítání modulů ... Kontrola / etc / shorewall / zóny ... Kontrola / etc / shorewall / rozhraní .. Určení hostitelů v zónách ... Vyhledání souborů akcí ... Kontrola / etc / shorewall / policy ... Přidání pravidel proti šmouhám Kontrola filtrování příznaků TCP ... Kontrola filtrování tras jádra ... Kontrola protokolování Marsu ... Kontrola Přijmout směrování zdroje ... Kontrola MAC filtrace - Fáze 1 ... Kontrola / etc / shorewall / pravidla ... Kontrola / etc / shorewall / conntrack ... Kontrola MAC filtrace - Fáze 2 ... Uplatňování zásad .. . Kontrola /usr/share/shorewall/action.Drop pro řetěz Drop ... Kontrola /usr/share/shorewall/action.Broadcast pro řetěz Broadcast ... Ověření konfigurace Shorewall

root @ ns: ~ # nano / etc / default / shorewall
# zabránit spuštění s výchozí konfigurací # nastavit následující proměnnou na 1, aby bylo možné spustit Shorewall
spuštění =1
------

root @ ns: ~ # spuštění pobřežní stěny služby
root @ ns: ~ # restartování břehu služby
root @ ns: ~ # stav pobřežní brány služby
● shorewall.service - LSB: Konfigurace brány firewall při spuštění Načteno: načteno (/etc/init.d/shorewall) Aktivní: aktivní (ukončeno) od ne 2017-04-30 16:02:24 EDT; Před 31 minutami Proces: 2707 ExecStop = / etc / init.d / pobřežní zastávka (kód = ukončen, stav = 0 / ÚSPĚCH) Proces: 2777 ExecStart = / etc / init.d / pobřežní spuštění (kód = ukončen, stav = 0 / ÚSPĚCH)

Je velmi poučné pečlivě si přečíst výstup příkazu iptables -L zejména pokud jde o výchozí zásady pro INPUT, FORWARD, OUTPUT a ty, které odmítá - odmítnout firewall k ochraně před vnějšími útoky. Přinejmenším to jde na internet s malou ochranou, že? 😉

root @ ns: ~ # iptables -L

NSD

root @ ns: ~ # aptitude show nsd
Balíček: nsd Nové: ano Stav: nainstalováno Nainstalováno automaticky: ne
Verze: 4.1.0-3

root @ ns: ~ # aptitude install nsd
root @ ns: ~ # ls / usr / share / doc / nsd /
contrib changelog.Debian.gz NSD-DIFFFILE POŽADAVKY.gz příklady changelog.gz NSD-FOR-BIND-USERS.gz TODO.gz rozdíly v autorských právech.pdf.gz README.gz UPGRADOVÁNÍ ÚVĚRŮ NSD-DATABASE RELNOTES.gz

root @ ns: ~ # nano /etc/nsd/nsd.conf
# Konfigurační soubor NSD pro Debian. # Viz manuálová stránka nsd.conf (5).
# Komentář viz /usr/share/doc/nsd/examples/nsd.conf
# referenční konfigurační soubor.
# Následující řádek obsahuje další konfigurační soubory z adresáře # /etc/nsd/nsd.conf.d. # UPOZORNĚNÍ: Globální styl zatím nefunguje ... # include: "/etc/nsd/nsd.conf.d/*.conf" server: logfile: "/var/log/nsd.log" IP adresa : 172.16.10.30 # naslouchat na připojeních IPv4 do-ip4: ano # poslouchat na připojeních IPv6 do-ip6: ne # port, na který budete odpovídat na dotazy. výchozí hodnota je 53. port: 53 uživatelské jméno: nsd # V zónách je volba provide-xfr pro # axfr kontroluje zónu: name: fan zonefile: /etc/nsd/fan.zone zóna: name: desdelinux.fanoušek
    zonefile: /etc/nsd/desdelinux.fan.zone provide-xfr: 172.16.10.250 NOKEY zóna: název: 10.16.172.v-addr.arpa
    zonefile: /etc/nsd/10.16.172.arpa.zone provide-xfr: 172.16.10.250 NOKEY zone: name: swl.fan zonefile: /etc/nsd/swl.fan.zone zone: name: debian.fan zonefile: /etc/nsd/debian.fan.zone zone: name: centos.fan zonefile: /etc/nsd/centos.fan.zone zone: name: freebsd.fan zonefile: /etc/nsd/freebsd.fan.zone


root @ ns: ~ # nsd-checkconf /etc/nsd/nsd.conf
root @ ns: ~ #

Vytváříme soubory zón

Kořenová zóna «větrák.»Konfigurováno níže je POUZE PRO TESTOVÁNÍ a nemělo by být bráno jako příklad. Nejsme správci serverů jmen nemovitostí. 😉

root @ ns: ~ # nano /etc/nsd/fan.zone
$ ORIGIN fanoušek. $ TTL 3H @ IN SOA ns.fan. root.fan. (1; sériové 1D; obnovení 1H; opakování 1W; platnost 3H); minimální nebo; Negativní doba ukládání do mezipaměti; @ IN NS ns.fan. @ IN A 172.16.10.30; ns IN A 172.16.10.30

root@ns:~# nano /etc/nsd/desdelinux.fan.zóna
$ORIGIN desdelinux.fanoušek. $TTL 3H @ IN SOA č.desdelinux.fanoušek. vykořenit.desdelinux.fanoušek. (1; sériové 1D; obnovení 1H; opakování 1W; vypršení 3H); minimální nebo ; Negativní caching time to live; @ IN NS ns.desdelinux.fanoušek. @ IN MX 10 e-mail.desdelinux.fanoušek. @ IN TXT "v=spf1 a:mail.desdelinux.fan -all" ; ; Zaregistrujte se, abyste mohli řešit dotazy týkající se kopání desdelinux.fan @ IN A 172.16.10.10 ; ns IN A 172.16.10.30 mail IN CNAME   desdelinux.fanoušek. chatovat v CNAME   desdelinux.fanoušek. www IN CNAME   desdelinux.fanoušek. ; ; SRV záznamy související s XMPP
_xmpp-server._tcp IN SRV 0 0 5269 desdelinux.fanoušek.
_xmpp-client._tcp IN SRV 0 0 5222 desdelinux.fanoušek.
_jabber._tcp IN SRV 0 0 5269 desdelinux.fanoušek.

root @ ns: ~ # nano /etc/nsd/10.16.172.arpa.zone
$ ORIGIN 10.16.172.in-addr.arpa.
$TTL 3H @ IN SOA č.desdelinux.fanoušek. vykořenit.desdelinux.fanoušek. (1; sériové 1D; obnovení 1H; opakování 1W; vypršení 3H); minimální nebo ; Negativní caching time to live; @ IN NS ns.desdelinux.fanoušek. ; 30 V PTR čís.desdelinux.fanoušek. 10 V PTR     desdelinux.fanoušek.

root@ns:~# nsd-checkzone desdelinux.fan /etc/nsd/desdelinux.fan.zóna
zóna desdelinux.ventilátor je v pořádku
root @ ns: ~ # nsd-checkzone 10.16.172.in-addr.arpa /etc/nsd/10.16.172.arpa.zone
zóna 10.16.172.in-addr.arpa je v pořádku # V Debianu ukončí NSD svou instalaci ve výchozím nastavení
root @ ns: ~ # systemctl restart nsd
root @ ns: ~ # systemctl status nsd
● nsd.service - Načtený démon serveru názvů: načten (/lib/systemd/system/nsd.service; povoleno) Aktivní: aktivní (běží) od ne 2017-04-30 09:42:19 EDT; Před 21 minutami Hlavní PID: 1230 (nsd) CGroup: /system.slice/nsd.service ├─1230 / usr / sbin / nsd -d -c /etc/nsd/nsd.conf ├─1235 / usr / sbin / nsd - d -c /etc/nsd/nsd.conf └─1249 / usr / sbin / nsd -d -c /etc/nsd/nsd.conf

Kontroly ze samotného serveru ns.fan

root@ns:~# hostitel desdelinux.fanoušek
desdelinux.fanoušek má adresu 172.16.10.10
desdelinux.fanouškovská pošta je vyřizována 10 mailem.desdelinux.fanoušek.

root@ns:~#hostmail.desdelinux.fanoušek
mail.desdelinux.fan je alias pro desdelinux.fanoušek.
desdelinux.fanoušek má adresu 172.16.10.10
desdelinux.fanouškovská pošta je vyřizována 10 mailem.desdelinux.fanoušek.

root@ns:~#hostchat.desdelinux.fanoušek
povídat si.desdelinux.fan je alias pro desdelinux.fanoušek.
desdelinux.fanoušek má adresu 172.16.10.10
desdelinux.fanouškovská pošta je vyřizována 10 mailem.desdelinux.fanoušek.

root@ns:~#host www.desdelinux.fanoušek
www.desdelinux.fan je alias pro desdelinux.fanoušek.
desdelinux.fanoušek má adresu 172.16.10.10
desdelinux.fanouškovská pošta je vyřizována 10 mailem.desdelinux.fanoušek.

root@ns:~# hostitel ns.desdelinux.fanoušek
ns.desdelinux.fanoušek má adresu 172.16.10.30

root @ ns: ~ # hostitel 172.16.10.30
30.10.16.172.in-addr.arpa ukazatel na název domény ns.desdelinux.fanoušek.

root @ ns: ~ # hostitel 172.16.10.10
Ukazatel na název domény 10.10.16.172.in-addr.arpa desdelinux.fanoušek.

root @ ns: ~ # hostitel ns.fan
ns.fan má adresu 172.16.10.30

Kontroly rozlišení jmen z internetu

• Podrobných dotazů DNS nikdy není příliš mnoho, protože správný provoz řešení Domain Name Resolution bude do značné míry záviset na správném provozu sítě.

Chcete-li provádět dotazy DNS, připojil jsem se ke svému přepínači - přepnout test, notebook s IP 172.16.10.250 a brána 172.16.10.1, IP adresa, která odpovídá mé pracovní stanici správce systému.desdelinux.fanoušek jak je známo z předchozích článků.

sandra @ laptop: ~ $ sudo ip addr show
1: co: mtu 16436 qdisc stav fronty NEZNÁMÝ odkaz / zpětná smyčka 00: 00: 00: 00: 00: 00 brd 00: 00: 00: 00: 00: 00 inet 127.0.0.1/8 obor hostitele lo inet6 :: 1/128 obor hostitele valid_lft navždy preferovaný_lft navždy 2: eth0: mtu 1500 qdisc pfifo_fast state UP qlen 1000 link / ether 00: 17: 42: 8e: 85: 54 brd ff: ff: ff: ff: ff: ff inet 172.16.10.250/24 brd 172.16.10.255 global scope eth0 inet6 fe80: : 217: 42ff: fe8e: 8554/64 odkaz na obor valid_lft navždy preferovaný_lft navždy 3: wlan0: mtu 1500 qdisc noop state DOWN qlen 1000 link / ether 00: 1d: e0: 88: 09: d5 brd ff: ff: ff: ff: ff: ff 4: pan0: mtu 1500 qdisc noop state DOWN link / ether de: 0b: 67: 52: 69: ad brd ff: ff: ff: ff: ff: ff


sandra @ laptop: ~ $ sudo route -n
Směrovací tabulka IP jádra Cílová brána Genmask Příznaky Metrické Ref Použít Iface 0.0.0.0 172.16.10.1 0.0.0.0 UG 0 0 0 eth0 172.16.10.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0

sandra @ notebook: ~ $ cat /etc/resolv.conf
nameserver 172.16.10.30

sandra@laptop:~$hostitel desdelinux.fanoušek
desdelinux.fanoušek má adresu 172.16.10.10
desdelinux.fanouškovská pošta je vyřizována 10 mailem.desdelinux.fanoušek.

sandra @ notebook:~$hostmail.desdelinux.fanoušek
mail.desdelinux.fan je alias pro desdelinux.fanoušek.
desdelinux.fanoušek má adresu 172.16.10.10
desdelinux.fanouškovská pošta je vyřizována 10 mailem.desdelinux.fanoušek.

sandra @ notebook:~$ hostitel ns.desdelinux.fanoušek
ns.desdelinux.fanoušek má adresu 172.16.10.30

sandra @ laptop: ~ $ hostitel 172.16.10.30
30.10.16.172.in-addr.arpa ukazatel na název domény ns.desdelinux.fanoušek.

sandra @ notebook: ~ $ hostitel 172.16.10.10
Ukazatel na název domény 10.10.16.172.in-addr.arpa desdelinux.fanoušek.

sandra@laptop:~$ hostitel -t SRV _xmpp-server._tcp.desdelinux.fanoušek
_xmpp-server._tcp.desdelinux.ventilátor má SRV rekord 0 0 5269 desdelinux.fanoušek.

sandra @ notebook:~$ hostitel -t SRV _xmpp-client._tcp.desdelinux.fanoušek
_xmpp-client._tcp.desdelinux.ventilátor má SRV rekord 0 0 5222 desdelinux.fanoušek.

sandra @ notebook:~$ hostitel -t SRV _jabber._tcp.desdelinux.fanoušek
_jabber._tcp.desdelinux.ventilátor má SRV rekord 0 0 5269 desdelinux.fanoušek.

sandra @ laptop: ~ $ hostitel - fanoušek.
Vyzkoušejte „fan“ ;; - >> HEADER << - opcode: QUERY, status: NOERROR, id: 57542 ;; příznaky: qr aa rd; DOTAZ: 1, ODPOVĚĎ: 3, AUTORITA: 0, DALŠÍ: 1 ;; ODDÍL OTÁZKY :; ventilátor. V JAKÉMKOLI ;; SEKCE ODPOVĚDI: ventilátor. 10800 V SOA ns.fan. root.fan. 1 86400 3600 604800 10800 ventilátorů. 10800 IN NS ns.fan. fanoušek. 10800 IN A 172.16.10.30 ;; DALŠÍ ČÁST: ns.fan. 10800 IN A 172.16.10.30 Přijato 111 bytů od 172.16.10.30 # 53 za 0 ms

• Záměrně jsme nastavili adresu 172.16.10.250  Na notebooku ke kontrole VŠEHO pomocí dotazu DNS AXFR, protože zóny byly nakonfigurovány tak, aby umožňovaly - bez jakéhokoli hesla - tento typ dotazu z dané IP.

sandra@laptop:~$ dig desdelinux.ventilátor axfr
; <<>> DiG 9.9.5-9+deb8u6-Debian <<>> desdelinux.fan axfr ;; globální možnosti: +cmd
desdelinux.fanoušek. 10800 IN SOA č.desdelinux.fanoušek. vykořenit.desdelinux.fanoušek. 1 86400 3600 604800 10800
desdelinux.fanoušek. 10800 IN NS čís.desdelinux.fanoušek.
desdelinux.fanoušek. E-mail 10800 IN MX 10.desdelinux.fanoušek.
desdelinux.fanoušek. 10800 IN TXT "v=spf1 a:mail.desdelinux.fan-all"
desdelinux.fanoušek. 10800 IN A 172.16.10.10 _jabber._tcp.desdelinux.fanoušek. 10800 V SRV 0 0 5269 desdelinux.fanoušek. _xmpp-client._tcp.desdelinux.fanoušek. 10800 V SRV 0 0 5222 desdelinux.fanoušek. _xmpp-server._tcp.desdelinux.fanoušek. 10800 V SRV 0 0 5269 desdelinux.fanoušek. povídat si.desdelinux.fanoušek. 10800 V CNAME   desdelinux.fanoušek. e-mailem.desdelinux.fanoušek. 10800 V CNAME   desdelinux.fanoušek. ns.desdelinux.fanoušek. 10800 IN A 172.16.10.30 www.desdelinux.fanoušek. 10800 V CNAME   desdelinux.fanoušek.
desdelinux.fanoušek. 10800 IN SOA č.desdelinux.fanoušek. vykořenit.desdelinux.fanoušek. 1 86400 3600 604800 10800 ;; Doba dotazu: 0 ms ;; SERVER: 172.16.10.30#53(172.16.10.30) ;; KDY: Ne 30. dubna 10:37:10 EDT 2017 ;; Velikost XFR: 13 záznamů (zprávy 1, 428 bajtů)

sandra @ laptop: ~ $ dig 10.16.172.in-addr.arpa axfr
; <<>> DiG 9.9.5-9+deb8u6-Debian <<>> 10.16.172.in-addr.arpa axfr ;; globální možnosti: +cmd 10.16.172.in-addr.arpa. 10800 IN SOA č.desdelinux.fanoušek. vykořenit.desdelinux.fanoušek. 1 86400 3600 604800 10800 10.16.172.v-addr.arpa. 10800 IN NS čís.desdelinux.fanoušek. 10.10.16.172.in-addr.arpa. 10800 V PTR desdelinux.fanoušek. 30.10.16.172.in-addr.arpa. 10800 V PTR č.desdelinux.fanoušek. 10.16.172.v-addr.arpa. 10800 IN SOA č.desdelinux.fanoušek. vykořenit.desdelinux.fanoušek. 1 86400 3600 604800 10800 ;; Doba dotazu: 0 ms ;; SERVER: 172.16.10.30#53(172.16.10.30) ;; KDY: Ne 30. dubna 10:37:27 EDT 2017 ;; Velikost XFR: 5 záznamů (zprávy 1, 193 bajtů)

sandra @ notebook:~$ ping ns.desdelinux.fanoušek
PING č.desdelinux.fan (172.16.10.30) 56(84) bajtů dat.

Potřebné dotazy DNS byly zodpovězeny správně. Také kontrolujeme, zda Shorewall funguje správně a že nepřijímá ping z počítačů připojených k internetu.

Shrnutí

• Viděli jsme, jak nainstalovat a nakonfigurovat - se základními a minimálními možnostmi - autoritativní server DNS založený na NSD. Ověřujeme, že syntaxe souborů zón je velmi podobná syntaxi BIND. Na internetu existuje velmi dobrá a úplná literatura o NSD.
• Splnili jsme cíl zobrazení deklarace záznamů SRV souvisejících s XMPP.
• Pomáháme s instalací a minimální konfigurací brány firewall na bázi Shorewall.

Další dodávka

Prosody IM a místní uživatelé.